2018年11月30日,由安全+主办的EISS-2018企业信息安全峰会——上海站在上海银星皇冠假日酒店成功举办。峰会延续了往届企业信息安全峰会 “直面信息安全挑战,创造最佳实践”的主题,吸引近400位的企业信息安全专家齐聚一堂,就企业数据安全实践、企业安全管理、态势感知、物联网安全、云安全、密匙管理、DevSecOps等话题展开深入分享和热烈的讨论。
[大会现场图片]
大会主会场
(ISC)2上海分会主席施勇博士作为本次峰会的大会主席,为峰会做了开场致辞,并代表大会主办方对与会嘉宾表示热烈的欢迎。
太平洋集团的资深信息安全经理万强先生,作为本次峰会的第一位演讲嘉宾,分享了主题为“太保企业数据安全实践”的精彩内容。 主题通过剖析当前数据安全保护的业务形势和法律法规形势,进而分享了太平洋保险集团的数据安全实践。太保在数据全生命周期管理方面有着非常丰富的经验,万先生详细分享了期数据安全组织、规范、流程以及数据安全工具方面的经验。为与会专家提供了非常有价值的参考。
平安集团的信息安全平台部总监董晓琼女士的分享主题是“企业数据安全‘智’评”。企业对信息安全最关注的是网络安全、数据安全、业务安全和业务连续性。董女士分享了信息安全纵深防体系和信息安全治理架构,提出了平安集团的信息安全管控机制,并且进一步探讨了几个企业最关注的问题:你的安全能力如何?管控机制有效性如何评价?安全能力、变化风险是否可见?最终展示了从“自我评估”到“‘智’我评估”经验。现场反响强烈,与会嘉宾提问非常积极。
第三位演讲嘉宾是来自IBM的大中华区安全事业部信息安全解决方案结构师吴异刚先生,他的演讲主题是:“‘神经中枢’态势感知系统的实践”。为了领先于威胁,企业需要能够“感知”到恶意行为,就像人能通过看、听、闻、触觉来感知到危险一样,这个平台能够检测环境中的细微差异,如潜伏的入侵者或恶意的内部人员;不依赖于少数训练有素的专家来发现攻击;能收集、正则化、关联数十亿级别的安全事件,并能确定问题的优先级; 能识别重要的安全漏洞和风险。吴先生分享了IBM在这些方面的经验和解决方案,为信息安全专家们提供了更多的选择。
茶歇过后,来自海康威视的副总裁王滨先生为我们分享了主题为“安全管理:物联网安全的应急响应”的精彩内容。物联网成为当前整个IT领域产业界和学术界关注的焦点,但是“美国断网事件”、“德国断网事件“等使得物联网的安全应急响应工作成为业界关注的焦点核心问题。物联网的安全应急响工作难点在哪里?面临哪些挑战?该如何应对?王先生在演讲中进行详尽介绍。
Contrast Security APAC的副总裁Jeff CHEN先生,在本次大会的分享主题是“通过IAST和RASP改变应用安全的发展态势”。 传统的应用安全解决方案(包括SAST、DAST、WAF等)已经运用20多年了,自其问世以来,并没有取得重大的技术进步。如今,交互式应用安全测试(IAST)和运行时应用自我防护(RASP)等变革性技术的出现,正在迅速改变着应用安全行业。在本次大会上,Jeff向与会嘉宾们简要介绍IAST和RASP的运行方式、应用领域、其与传统应用安全解决方案的区别以及预期会带来的益处。
来自于美丽联合集团的信息安全总监止介先生,在本次大会的演讲主题是“蘑菇街人机识别体系实践”。蘑菇街遇到的人机识别问题挑战以及应对思路,涵盖反爬、图形验证码、滑块验证码、TCP/IP、设备指纹、模拟器识别等核心人机识别项目,主要分享我们在项目上的经验和最终落地的方案,以及我们在项目上的机器学习的应用。
午餐过后,企业信息安全峰会下午分为两个分会场,分别是:
分会场一:企业安全应用;
分会场二:信息安全新技术。
分会场一: 企业安全应用
分会场一(企业安全应用)的第一位演讲嘉宾是国家电网全球能源互联网研究院信息通信研究所的业务安全技术研究室主任石聪聪先生,他的演讲主题是:“全业务泛在电力物联网及其安全防护思考”。石先生介绍了电力物联网的演进,并列举了一系列典型的业务场景,由此引申出目前面临的风险和挑战。通过深入浅出的方式讲述了可管可控、精准防护、可视可信、智能防御的安全防护总体策略以及针对遇到的挑战所做出的一些安全设计,对于安全从业者有很大的启发。
第二位演讲嘉宾是Imperva的中国区资深技术顾问刘沛旻先生,他在本届大会的演讲主题是:“云环境下的应用和数据安全实践”。云环境下的安全趋势还是相当具有挑战性的,不论是部署模式、自动化、快速部署、服务化,还是缺少匹配的安全运维人员,都是不容小觑的。刘先生介绍了Impreva在混合环境下的应用和数据安全结构方面的经验,并推荐了相应的解决方案,为安全从业者在安全管理方面提供有力的支持。
第三位演讲嘉宾是苏宁科技的安全研发中心技术总监刘佳进先生,他在大会中的分享主题是“苏宁业务发展中风控演进之道”。“网络黑色产业链”对于电商业务安全来讲一直是一个挑战,刘先生分享了苏宁在识别黑产工具,电商核心场景风险和企业防守若是方面的经验和挑战。通过回顾了苏宁风控的发展历程,讲解了风控体系建设的成功之道。
第四位演讲嘉宾是来自某公司的风险负责人赵锐先生,在本次大会的分享主题是:“CSO基础之密匙管理的艺术”。风险管理有三要素,其中最重要而又最基础的要素是什么?赵先生通过提出并且回答这个关键问题,引出了风险管理中资产的保密性、完整性和可用性。并进一步阐述了密钥的生命周期管理经验。
第五位演讲嘉宾是来自招银云创合规岗的陈欣炜先生,他的分享主题是:“金融云合规体系构建”。通过分享了合规的总体定义、总览、监管体系、合规检查以及合规展望,陈先生为我们展示了金融行业合规风险管理的挑战,并且提出了行之有效的解决之道。
第六位演讲嘉宾是来自携程的高级安全工程师徐楷先生,他为我们带来的演讲主题是:“企业数据防泄露的那些事”。徐先生通过分析数据泄露的危害和原因,进一步深度剖析企业数据泄露的风险,为与会嘉宾分享了携程的风险管理经验以及风险预警系统。
第七位演讲嘉宾是来自阿里巴巴归零实验室的安全技术专家任宏伟先生,他的演讲主题是:“蓝军演练平台的建设实践”。任先生分享了如何搞蓝军演练平台建设,价值点如何体现,如何证明其价值?安全团队、蓝军的价值是什么?如何体现并得到领导、兄弟团队认可?这些非常重要的经验。并且进一步阐述了蓝军遇到的核心问题,以及是如何解决的?最后进一步介绍平台的架构和核心能力。
分会场一最后的环节是小组讨论,来自法雷奥的中国区IT经理郭青峰先生,德勤的风险咨询合伙人张震先生,药明生物的信息安全官林磊先生、Adidas的亚太信息安全高级顾问马一烈女士,就话题“企业安全战略实践方法论”展开了深入的讨论,就与会信息安全专家关注的热点话题给与答疑解惑,现场讨论热烈。
分会场二 信息安全新技术
分会场二(信息安全新技术)第一讲的演讲嘉宾是来自爱奇艺的安全总监王超先生,他的演讲主题是:“SDL与安全能力服务化”。王先生分享了爱奇艺基于DevSecOps的SDL流程,并深入讲解了安全能力服务化中:效率优先、方便用户和数据化运营的经验。在最后展示了爱奇艺安全大架构给与参会嘉宾交流和学习。
第二讲的演讲嘉宾是来自Tenable的中国区总经理赵阳先生,他为我们分享的主题是:“Cyber Exposure:理解与降低企业安全风险”。如今企业计算环境,几乎所有的传统技术都已经发生改变,CISO都要面对4大难题:我们是否有被利用的风险?风险补救的优先级?如何才能减少被利用的风险?和同行相比安全再怎么水平?通过分析和解答以上问题,赵先生提出了Cyber Exposure能帮助企业提升安全的可视能力、优先分析能力、度量能力。
第三讲的嘉宾是Forcepoint的中国区技术总监冯文豪先生,他在本次峰会的分享主题是:“数据为核人为本——以新视角看待数据安全”。信息安全面临诸多挑战,企业本应以数据为核、人为本,但是往往缺面临追逐数据缺不了解用户的行为,分析了用户行为却不了解背景信息。冯先生提出以人为本的信息安全体系,应用在落实数据保护策略等诸多场景非常有效的助力企业信息安全建设。
来自华泰证券的信息安全专家庄飞为我们带来第四讲的精彩分享,主题为:“DevSecOps在金融机构落地实践”。庄先生通过介绍DevOps安全面临的挑战、SDL软件安全生命周期BSI框架、安全活动干系人、DevSecOps应用安全活动等方面的经验,为与会嘉宾展示了华泰证券安全平台建设的战略框架。
经过茶歇时间简短的休息和线下交流过后,来自CSA的上海分会联席主席沈勇先生为我们分享了第五讲:“云安全现状与未来的一些思考”。沈先生首先介绍了CSA及其2018年关键成果,然后分享了对云安全的思考:产品已经有很多,但是威胁依然严峻。其中市场参与者成熟度是一个关键,现有云安全产品还需要打磨等行业面临的挑战和机遇。
第六讲的嘉宾是来自于众安科技的高级算法师裴新先生,演讲主题是:“区块链安全及隐私保护场景分析”。数据即资产,数据拥有者应具备资深数据的可控权。如何在隐私保护的条件下发挥数据价值,产出统计学或者趋势性结果,实现“数据开放不共享”。基于区块链资产协议的保险通证,为数据隐私保护提供新的思路。
第七位演讲嘉宾唯品会的信息安全工程师姜鹏序先生,为我们分享的主题是:“唯品会攻击检测实践”。传统攻击检测简单直接,易于并行,但大都为已知攻击模式,正则匹配复杂度高,资源消耗高。基于新场景,提出新的方案,来优化异常检测流程,从而保障业务安全。
第八位演讲嘉宾是来自玄猫安全实验室的安全研究员Javierlev先生,为我们分享了“区块链中共识算法的安全隐患”。演讲嘉宾首先介绍共识算法的背景以及影响其安全的因素,进一步针对响应的一些热点安全实践进行了分析,提出了诸多共识攻击的安全隐患,为相关专家提供了有力的参考。
第九为演讲嘉宾是来自腾讯云安全的高级产品经理刘双立先生,演讲主题是:“数盾—整治泄密的组合拳”。企业数据风险趋势不容乐观,内部泄密实践频发,数据保护法规要求越来越严格。在国内外严峻的形势下,腾讯云提出了由点到面、多维度管控的组合拳,从业务流量、内部访问和外部共享入手,打造完整安全体系。
EISS-2018企业信息安全峰会上海站,在参会嘉宾的热烈讨论中圆满结束!“安全+”感谢我们的演讲嘉宾,我们的赞助商:IBM、Contrast Security、Tenable、IMPERVA、FORCEPOINT、Gigamon、Cormail、思睿嘉得、UPAS、GTI、派拉软件、舜源科技、联软科技和Westcon的鼎力支持,以及业界专家的热情参与,期待下次峰会见!